金三胖
将动图分离出来,get flag。
N种方法解决
一个exe 文件,果然打不开,在kali里分析一下:file KEY.exe,ascii text,先txt再说,base64
图片,get flag。
大白
crc校验,改高,get flag。
基础破解
压缩包提示4位数字,爆破,base64,get flag。
你竟然赶我走
图片,HxD打开,在最后get flag,flag{stego_is_s0_bor1ing}。
LSB
提示LSB隐写,发现PNG的文件头,save bin,扫二维码,get flag。
ningen
图片,分离出加密压缩包,提示4位数字,爆破,get flag。
wireshark
提示网页,发现http,有个login的包,追踪http流(或者双击这个包),搜索关键字password,get flag。
假如给我3天光明
结合题目,图片下方是盲文,对照盲文ascii对照表,得到一串密码,音频隐写,Morse decode,神器,get flag(大小写都试试)。
来首歌吧
音频隐写,Morse decode,get flag。
FLAG
stegsolve,发现PK提出来,修复一下,文件没有后缀,改.txt,get flag。
爱因斯坦
图片分离出加密压缩包,密码在图片属性里,get flag。
easycap
说了easy,追踪第一个包,get flag。
被嗅探的流量
筛选http数据包,发现有post 一个图片,双击,get flag。
梅花香自苦寒来
图片,(备注提示画图)HxD打开发现很多16进制,复制到Notepad++,转为ascii,发现是坐标,去掉(),,变空格,放在kali,:gnuplot,plot "1.txt",QR扫,get flag。
荷兰宽带泄露
文件是.bin,工具RouterPassView,搜索username,get flag。
后门查杀
D盾扫,get flag。
另一个世界
图片,HxD打开,最后有一串2进制,2进制转ascii,get flag。
九连环
jpg图片,foremost分离出asd 文件图片拿不出来,binwalk可以,看来以后俩个要都试试,qwe.zip加密压缩包,分出来的jpg图像为steghide 隐写:kali命令:steghide extract -sf good-已合并.jpg,get flag。
面具下的flag
图片,分离出flag.vmdk,kali下对.vmdk解压:7z x flag.vmdk,brainfuck加密, ook加密,get flag。
数据包中的线索
导出http对象,在线base64转图片,get flag。
webshell后门
D盾扫,get flag。
被劫持的神秘礼物
发现login包,追踪tcp流,根据题目找到账号密码,md3哈希get flag。
弱口令
加密的压缩包,压缩包注释里有不可见字符,复制到sublime,Morse decode,得到一张png图片,lsb隐写:python lsb.py extract 1.png 1.txt 123456(弱口令猜123456),get flag。
Beautiful_Sise
半张二维码,数出二维码是2929的尺寸,CR-Code Version是2929(ver.3),点击右上角的紫色,Format Info Pattern里的Error Correction Level和Mask Pattern对着二维码试试就好,对照着把黑白块点出来,Etract QR Information。
喵喵喵
png图片,stegsolve,发现Red plane 0有问题,发现有png图像,提取出来,把高补全,得到完整二维码,据说题目提示了NTFS,扫描出flag.pyc,pyc是python的字节码文件,在线反编译,导出到文件,剩下就是脚本解密了。
秘密文件
对流量包binwalk,提出加密的rar,拖到物理机,直接按数字爆破。
蜘蛛侠呀
列出流量包的所有隐藏文件:tshark -r 1.pcap -T fields -e data > 1.txt
发现1.txt有连续或不连续的重复行,使用liux的uniq命令去重:sort 1.txt | uniq >2.txt
flag
babyflash
用flash反编译工具JPEXS反编译flash.swf,出来441帧黑白图和一个音频,
吹着贝斯扫二维码
拼图(改图片的宽高),扫出BASE Family Bucket ??? 85->64->85->13->16->32, base32 在线decode得:3A715D3E574E36326F733C5E625D213B2C62652E3D6E3B7640392F3137274038624148
base16在线decode得::q]>WN62os<^b]!;,be.=n;v@9/17'@8bAH
rot13在线decode得::d]>JA62bf<^o]!;,or.=a;i@9/17'@8oNU
base85手机在线decode得:PCtvdWU4VFJnQUByYy4mK1lraTA=
base64在线decode得:<+oue8TRgA@rc.&+Yki0
base68 decode得:ThisIsSecret!233
get flag:flag{Qr_Is_MeAn1nGfuL}
[SWPU2019]神奇的二维码
binwalk分离,word文档n多个base64 decode,comEON_YOuAreSOSoS0great用密码接触加密的压缩包,音频摩斯解密就好。
get flag:swpuctf{morseisveryveryeasy}。
[SWPU2019]漂流的马里奥
nfs工具一扫就出来了。
get flag:swupctf{ddg_is_cute}。
[SWPU2019]伟大的侦探
010编辑器,编码方式挨个试,EBCDIC发现了压缩包密码,跳舞的小人加密,get flag,flag{iloveholmesandwllm}。
[HDCTF2019]你能发现什么蛛丝马迹吗
img 内存取证
分析镜像:volatility -f memory.img imageinfo
查看进程:volatility -f memory.img --profile=Win2003SP1x86 pslist
查看之前运行过的进程: volatility -f memory.img --profile=Win2003SP1x86 userassist
提取explorer.exe进程:volatility -f memory.img --profile=Win2003SP1x86 memdump -p 1992 --dump-dir=./
扫二维码:jfXvUoypb8p3zvmPks8kJ5Kt0vmEw0xUZyRGOicraY4=,加上给了key和vi(偏移量),aes decode,模式(ECB),flag{F0uNd_s0m3th1ng_1n_M3mory}。
[HDCTF2019]信号分析
选为波形dB(W),
[SWPU2019]Network
flag3.zip用ziperello爆破,密码183792,doc文件的数字提示就是帧数,
..... ../... ./... ./... ../,敲击码,得wllm
dXBfdXBfdXA=,base64解得up_up_up,可以解出flag2.zip,HxD靠后的地方看到flag:swpuctf{A2e_Y0u_Ok?}。
[GXYCTF2019]佛系青年
zip伪加密,题目和图片都提示佛,与佛论禅解密。
蜘蛛侠呀(脚本待)
我爱Linux(脚本待)
USB(脚本待)
sqltest(脚本待)
寂静之城(社工不做了)
派大星的烦恼(脚本待)
zip(脚本待)
68个压缩包,winrar打开看都是4字节,crc32校验爆破,
二维码(拼图暂不做)
SWPU2019]Network(脚本)
[GUET-CTF2019]zips
222.zip加密压缩包,无提示,6位数字爆破,111.zip又是加密压缩包,伪加密,
从娃娃抓起
题目提示2种不同的汉字编码,第一种是中文电码,解出人工智能,第二章是五笔编码,解出也要从娃娃抓起,flag{3b4b5dccd2c008fe7e2664bd1bc19292}
hashcat
文件没有后缀,拖到kali,显示word文件,在真机改后缀为.doc,打开时需要密码
[RoarCTF2019]forensic
1、分析镜像:volatility -f mem.raw imageinfo
2、查看进程:volatility -f mem.raw pslist --profile=Win7SP1x86_23418
观察到的可疑进程:
TrueCrypt.exe
notepad.exe
mspaint.exe
iexplore.exe
DumpIt.exe
提取notepad.exe进程试试:volatility -f mem.raw --profile=Win7SP1x86_23418 memdump -p 3524 -D ./,得到3524.dmp,foremost分离,zip给加密了
既然用了画图工具,那就查看内存的图片:volatility -f mem.raw --profile=Win7SP1x86_23418 filescan | grep -E 'jpg|png|jpeg|bmp|gif',发现有张无标题.png,是windows画图工具默认的文件名,提取无标题.png:volatility -f mem.raw --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000001efb29f8 -n --dump-dir=./
1YxfCQ6goYBD6Q
flag{wm_D0uB1e_TC-cRypt}